Opravené zraniteľnosti v balíku tém vytvorenom Thrive Themes sú napadnuté, keď hovoríme…chyba…typ.
Na základe správ z TechRadarje pravdepodobné, že je ovplyvnených viac ako 100 000 inštalácií tém a sú strategicky určené na útok hackerov.
Ako vždy sa dôrazne odporúča aktualizácia na najnovšiu verziu tém, pretože všetky obsahujú záplaty na najnovšie zraniteľnosti.
Wordfence dôrazne odporúča aby všetci používatelia nasledujúcich tém inovovali na najnovšie verzie:
- Všetky staršie témy vrátane Rise, Ignition a ďalších | Verzia < 2.0.0
- Thrive Optimize | Verzia < 1.4.13.3
- Thrive Komentáre | Verzia < 1.4.15.3
- Thrive Headline Optimizer | Verzia < 1.3.7.3
- Thrive Themes Builder | Verzia < 2.2.4
- Verzia Thrive Leads | < 2.3.9.4
- Verzia Thrive Ultimatum | < 2.3.9.4
- Verzia Thrive Quiz Builder | < 2.3.9.4
- Thrive Apprentice | Verzia < 2.3.9.4
- Thrive Architect | Verzia < 2.6.7.4
- Dashboard Thrive | Verzia < 2.3.9.3
- Thrive Ovation | Verzia < 2.4.5
Čo je v súčasnosti ovplyvnené?
Thrive Themes ponúka svojim doplnkom príjemnú výhodu, a to integráciu so Zapierom. Táto integrácia umožňuje automatizovať procesy.
Problém s touto funkciou je, že nebola implementovaná bezpečne.
A REST API koncový bod sa používa v rámci Thrive Themes na ich priradenie k funkciám pre Zapier. To, čo koncový bod vyžaduje na prístup, je kľúč API.
Kritická zraniteľnosť je v tom, že útočníci by mohli poskytnúť prázdne miesto api_key parameter, ak funkcia Zapier nebola povolená.
To malo za následok kritickú zraniteľnosť, kde útočníci môžu pridať ľubovoľné údaje, ktoré chcú, do akejkoľvek preddefinovanej možnosti v tabuľke wp_options.
Ovplyvnená bola aj automatická kompresia obrazu
Jedným z aspektov Thrive’s Legacy Themes, ktorý je naďalej populárny, je schopnosť automaticky komprimovať obrázky počas nahrávania.
Žiaľ, ani tento aspekt nebol implementovaný bezpečne.
Funguje to takto: The Optimalizátor obrázkov Kraken.io sa používa na vytvorenie koncového bodu REST API na kompresiu obrázkov. Niektorí útočníci vymysleli metódy, v ktorých by mohli použiť požiadavky spolu s údajmi pridanými prostredníctvom chyby zabezpečenia Update Option, aby získali škodlivý kód z externej adresy URL.
Tento škodlivý kód by mohol útočníkom umožniť prepísať existujúce súbory alebo vytvoriť úplne nový súbor. Bohužiaľ to tiež znamená, že sú zahrnuté spustiteľné súbory PHP, ktoré obsahujú škodlivý kód.
Prečo je táto zraniteľnosť taká vážna
Je možné spojiť viacero exploitov, aby ste mohli prevziať vlastníctvo webovej stránky. Wordfence uvádza, že:
„V minulosti sme videli prípady, keď útočníci reťazili dva samostatné exploity, aby získali prístup na stránku, a to bol aj prípad tohto exploitu.
Útočníci používajú zraniteľnosť Unauthenticated Option Update na aktualizáciu možnosti v databáze, ktorú potom môže použiť zraniteľnosť Unauthenticated Arbitrary File Upload na nahranie škodlivého súboru PHP. Kombinácia týchto dvoch zraniteľností umožňuje útočníkom získať backdoor prístup na zraniteľné stránky, aby ich ďalej kompromitovali.“
Preto musíte svoje témy čo najskôr aktualizovať a uistiť sa, že na svojich serveroch nemáte spustený žiadny škodlivý softvér.
Takto sa aspoň neúmyselne nestanete agentom chaosu jednoduchým kliknutím a spustením súboru.
Čo by ste mali robiť ďalej?
Dôrazne odporúčame, aby ste dodržiavali odporúčané pokyny na aktualizáciu týchto tém.
Môžete sa tak vyhnúť tomu, že sa stanete obeťou práve prebiehajúcich útokov.
Pamätajte: Príliš opatrné myslenie je jedným z najlepších receptov na prevenciu! Byť príliš opatrný je lepšie, ako neskôr zistiť, že váš web bol cez noc napadnutý.
